Северокорейская APT-группа InkySquid атакует жертв через уязвимости в браузерах Microsoft

Чт 19 Август 2021 15:29

Исследователи безопасности ИБ-компании Volexity зафиксировали атаки известной северокорейской хакерской группировки на ограниченный круг жертв с использованием эксплоитов для уязвимостей в web-браузере и нового вредоносного ПО.

Хакерская группировка под названием InkySquid сумела взломать новый сайт в Южной Корее и внедрить в него вредоносный код. Данный эксплоит используется с 2020 года в атаках на браузер Internet Explorer с целью загрузки обфусцированного Javascript-кода, скрытого внутри легитимного кода.

Вышеописанная техника также использовалась для атак на пользователей устаревшего браузера Edge первого поколения, но через более новую уязвимость, которая также присутствует в Internet Explorer.

В обоих случаях Javascript расшифровывается в версию инструмента Cobalt Strike, после чего загружается вредоносное ПО второго этапа под названием BLUELIGHT.

BLUELIGHT представляет собой семейство вредоносного ПО для поиска и похищения информации, настроенного хакерами таким образом, чтобы использовать разных облачных провайдеров и C&C-серверов.

В операциях BLUELIGHT хакеры использовали API Microsoft Graph для Microsoft 365, Office и других сервисов.

По мнению Volexity, за атаками InkySquid стоит северокорейская хакерская группировка, также известная как ScarCruft или APT37. Группировка активна с 2012 года и атакует в основном предприятия в Южной Корее и других странах Азии и Среднего Востока.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 312 дней 16 часов 22 минуты 30 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.